AI Act: Guida Completa al Regolamento Europeo sull'Intelligenza Artificiale
L'AI Act (Reg. UE 2024/1689) è il primo framework normativo al mondo sull'intelligenza artificiale. Spieghiamo classificazione del rischio, obblighi, sanzioni e scadenze.
L'AI Act è il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale. È il primo framework normativo al mondo che disciplina lo sviluppo, l'immissione sul mercato e l'utilizzo dei sistemi di intelligenza artificiale nell'Unione Europea.
Pubblicato nella Gazzetta Ufficiale dell'UE il 12 luglio 2024, è entrato in vigore il 1° agosto 2024. La sua applicazione è graduale, con scadenze differenziate tra il 2025 e il 2027. In Italia, la Legge n. 132 del 23 settembre 2025 ha designato le autorità nazionali competenti per l'attuazione del Regolamento.
Cos'è l'AI Act e Perché è Stato Adottato
L'AI Act nasce dall'esigenza di bilanciare l'innovazione tecnologica con la tutela dei diritti fondamentali delle persone. La Commissione Europea ha presentato la prima proposta il 21 aprile 2021. Dopo oltre due anni di negoziati tra Parlamento e Consiglio, il testo definitivo è stato approvato il 13 marzo 2024 dal Parlamento Europeo con 523 voti favorevoli, 46 contrari e 49 astensioni.
L'obiettivo dichiarato (Art. 1) è garantire:
- Un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali
- La certezza giuridica per chi sviluppa e utilizza sistemi AI
- Il funzionamento del mercato interno dell'UE per i prodotti e servizi AI
- L'innovazione attraverso un quadro normativo proporzionato e basato sul rischio
A Chi Si Applica l'AI Act (Art. 2)
Il Regolamento si applica a:
- Fornitori (providers) che sviluppano o fanno sviluppare sistemi AI immessi sul mercato UE, indipendentemente dalla sede
- Deployer (utilizzatori) che impiegano sistemi AI sotto la propria autorità nell'UE
- Importatori e distributori di sistemi AI nel mercato UE
- Fabbricanti di prodotti che integrano sistemi AI nei propri prodotti
- Rappresentanti autorizzati di fornitori stabiliti fuori dall'UE
Il campo di applicazione è extraterritoriale (Art. 2, par. 1, lett. c): si applica anche a fornitori e deployer stabiliti in paesi terzi, quando l'output del sistema AI è utilizzato nell'UE.
Non si applica a: sistemi AI per scopi esclusivamente militari o di difesa, attività di ricerca scientifica pura, e software open source (con eccezioni per i modelli ad alto rischio).
La Classificazione del Rischio: Il Cuore dell'AI Act
L'AI Act adotta un approccio basato sul rischio (risk-based approach): maggiore è il rischio di un sistema AI per i diritti fondamentali, più stringenti sono gli obblighi. Sono previsti quattro livelli.
Rischio Inaccettabile — Sistemi Vietati (Art. 5)
Alcune pratiche di AI sono considerate una minaccia inaccettabile per i diritti fondamentali e sono vietate in modo assoluto:
- Manipolazione subliminale: sistemi che utilizzano tecniche subliminali per distorcere il comportamento di una persona in modo da causarle un danno
- Sfruttamento di vulnerabilità: sistemi che sfruttano l'età, la disabilità o la situazione sociale di una persona
- Social scoring governativo: sistemi di classificazione sociale da parte di autorità pubbliche basati sul comportamento o su caratteristiche personali
- Identificazione biometrica remota in tempo reale in spazi pubblici a fini di attività di contrasto (con eccezioni tassative: ricerca di vittime, prevenzione di minacce terroristiche, localizzazione di indagati per reati gravi)
- Polizia predittiva basata esclusivamente su profilazione o tratti della personalità
- Riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni scolastiche
- Categorizzazione biometrica per dedurre razza, opinioni politiche, orientamento sessuale, convinzioni religiose
I divieti si applicano dal 2 febbraio 2025.
Rischio Alto — Obblighi Stringenti (Art. 6-49, Allegati I e III)
I sistemi ad alto rischio sono soggetti ai requisiti più impegnativi. Si dividono in due categorie:
Allegato I — Sistemi AI che sono componenti di sicurezza di prodotti regolati dalla normativa di armonizzazione UE (dispositivi medici, macchine, giocattoli, veicoli, ecc.)
Allegato III — Sistemi AI utilizzati in ambiti specifici:
- Identificazione biometrica (non in tempo reale)
- Gestione di infrastrutture critiche (energia, acqua, trasporti, digitale)
- Istruzione e formazione professionale (ammissione, valutazione)
- Occupazione e gestione dei lavoratori (selezione, promozione, licenziamento)
- Accesso a servizi essenziali (credito, assicurazioni, servizi pubblici)
- Attività di contrasto (valutazione del rischio di recidiva, poligrafi)
- Migrazione e controllo delle frontiere
- Amministrazione della giustizia e processi democratici
Obblighi per i sistemi ad alto rischio (Art. 8-15):
| Obbligo | Riferimento | Contenuto |
|---|---|---|
| Sistema di gestione dei rischi | Art. 9 | Identificazione, analisi, stima e mitigazione dei rischi lungo l'intero ciclo di vita |
| Governance dei dati | Art. 10 | I dataset di addestramento devono essere pertinenti, rappresentativi, privi di errori e completi |
| Documentazione tecnica | Art. 11 | Descrizione del sistema, finalità, prestazioni, limitazioni, misure di mitigazione |
| Registrazione automatica (log) | Art. 12 | Il sistema deve registrare automaticamente gli eventi rilevanti per la tracciabilità |
| Trasparenza | Art. 13 | Istruzioni per l'uso chiare, comprensibili e accessibili per il deployer |
| Supervisione umana | Art. 14 | Il sistema deve poter essere supervisionato da persone fisiche durante il funzionamento |
| Accuratezza, robustezza, cybersicurezza | Art. 15 | Livelli adeguati per l'intero ciclo di vita |
La piena applicazione per i sistemi ad alto rischio decorre dal 2 agosto 2026.
Rischio Limitato — Obblighi di Trasparenza (Art. 50)
Alcuni sistemi AI hanno obblighi di trasparenza specifici:
- Chatbot: informare l'utente che sta interagendo con un sistema AI
- Deepfake: etichettare i contenuti generati o manipolati artificialmente
- Riconoscimento delle emozioni e categorizzazione biometrica: informare le persone esposte al sistema
- Contenuti generati da AI: i deployer devono etichettare i contenuti testuali generati da AI quando pubblicati per informare il pubblico su questioni di interesse pubblico
Rischio Minimo — Nessun Obbligo Specifico
La maggior parte dei sistemi AI rientra in questa categoria (filtri spam, raccomandazioni di contenuti, sistemi di gestione inventario). Non sono previsti obblighi specifici, ma i fornitori possono aderire a codici di condotta volontari (Art. 95).
Modelli AI General-Purpose (GPAI) — Art. 51-56
L'AI Act introduce regole specifiche per i modelli di AI per finalità generali (come GPT-4, Claude, Gemini, Llama). Questi modelli, utilizzabili per molteplici scopi, presentano rischi sistemici che richiedono una disciplina ad hoc.
Obblighi per tutti i fornitori di modelli GPAI (Art. 53):
- Documentazione tecnica aggiornata
- Informazioni per i fornitori a valle che integrano il modello
- Politica di rispetto del diritto d'autore (in particolare della Direttiva 2019/790)
- Pubblicazione di un sommario dei dati di addestramento
Obblighi aggiuntivi per modelli con rischio sistemico (Art. 55) — modelli addestrati con potenza di calcolo superiore a 10^25 FLOP:
- Valutazioni del modello e test adversariali
- Valutazione e mitigazione dei rischi sistemici
- Segnalazione di incidenti gravi alla Commissione e alle autorità nazionali
- Protezione adeguata della cybersicurezza
I requisiti per i modelli GPAI si applicano dal 2 agosto 2025.
Le Sanzioni (Art. 99)
L'AI Act prevede tre fasce sanzionatorie:
| Violazione | Sanzione Massima | Riferimento |
|---|---|---|
| Pratiche vietate (Art. 5) | 35 milioni di euro o 7% del fatturato mondiale annuo | Art. 99, par. 3 |
| Altre violazioni del Regolamento | 15 milioni di euro o 3% del fatturato mondiale annuo | Art. 99, par. 4 |
| Informazioni inesatte alle autorità | 7,5 milioni di euro o 1% del fatturato mondiale annuo | Art. 99, par. 5 |
Per le PMI e startup, si applicano le soglie inferiori tra l'importo fisso e la percentuale sul fatturato (Art. 99, par. 6). Le sanzioni devono essere effettive, proporzionate e dissuasive (Art. 99, par. 1).
Nota: a differenza del GDPR, l'AI Act prevede la possibilità di comminare sanzioni anche ai fornitori di modelli GPAI che non rispettano gli obblighi degli Art. 51-56 (fino a 15 milioni EUR o 3% del fatturato).
Le Scadenze dell'AI Act: Calendario di Applicazione
L'applicazione dell'AI Act è graduale:
| Data | Cosa entra in vigore |
|---|---|
| 1° agosto 2024 | Entrata in vigore del Regolamento |
| 2 febbraio 2025 | Divieto delle pratiche AI a rischio inaccettabile (Art. 5) e obblighi di alfabetizzazione AI (Art. 4) |
| 2 agosto 2025 | Obblighi per modelli GPAI (Art. 51-56), nomina delle autorità nazionali, governance (Capo VII) |
| 2 agosto 2026 | Piena applicazione per sistemi ad alto rischio (Allegato III), obblighi di trasparenza, sanzioni |
| 2 agosto 2027 | Applicazione ai sistemi AI ad alto rischio componenti di prodotti regolati (Allegato I) |
L'Implementazione in Italia
L'Italia è il primo Stato membro ad aver adottato una legge nazionale per l'attuazione dell'AI Act.
Legge 23 settembre 2025, n. 132 — Disposizioni per l'adeguamento della normativa nazionale al Regolamento (UE) 2024/1689:
- ACN (Agenzia per la Cybersicurezza Nazionale): designata come autorità nazionale di vigilanza con poteri ispettivi e sanzionatori (Art. 70 del Regolamento)
- AgID (Agenzia per l'Italia Digitale): designata come autorità di notifica per i sistemi AI (Art. 28 del Regolamento)
- Il Garante per la protezione dei dati personali mantiene le proprie competenze per i profili di trattamento dei dati personali connessi ai sistemi AI
A livello europeo, l'EU AI Office (istituito dalla Commissione nel febbraio 2024) coordina l'applicazione del Regolamento e ha avviato nel gennaio 2026 le prime richieste formali di informazioni verso fornitori di modelli GPAI.
AI Act e GDPR: Come Interagiscono
L'AI Act non sostituisce il GDPR (Reg. UE 2016/679) ma lo integra. I due regolamenti si applicano congiuntamente quando un sistema AI tratta dati personali.
| Aspetto | GDPR | AI Act |
|---|---|---|
| Oggetto | Protezione dei dati personali | Regolazione dei sistemi AI |
| Base giuridica | Consenso, contratto, legittimo interesse, ecc. (Art. 6) | Classificazione del rischio del sistema |
| Obbligo documentale | Registro dei trattamenti (Art. 30), DPIA (Art. 35) | Documentazione tecnica (Art. 11), sistema di gestione rischi (Art. 9) |
| Autorità | Garante Privacy | ACN (Italia), EU AI Office (UE) |
| Sanzioni massime | 20 mln EUR / 4% fatturato | 35 mln EUR / 7% fatturato |
| Diritto alla spiegazione | Art. 22 (decisioni automatizzate) | Art. 86 (diritto a una spiegazione delle decisioni individuali) |
La DPIA (Valutazione d'Impatto sulla Protezione dei Dati, Art. 35 GDPR) e la valutazione di conformità AI (Art. 43 AI Act) possono essere svolte congiuntamente, come chiarito dal Considerando 166 del Regolamento.
Domande Frequenti
Cos'è l'AI Act in parole semplici? L'AI Act è il regolamento europeo che stabilisce le regole per lo sviluppo e l'utilizzo dell'intelligenza artificiale nell'UE. Classifica i sistemi AI in base al rischio (inaccettabile, alto, limitato, minimo) e impone obblighi proporzionati, dal divieto assoluto per i sistemi più pericolosi alla sola trasparenza per quelli a basso rischio.
L'AI Act si applica alla mia azienda? Se la tua azienda sviluppa, utilizza, importa o distribuisce sistemi AI nel mercato UE, è probabilmente soggetta all'AI Act. Il Regolamento ha portata extraterritoriale: si applica anche ad aziende non europee se l'output del loro sistema AI è utilizzato nell'UE.
Quando entra in vigore l'AI Act? L'AI Act è già in vigore dal 1° agosto 2024. I divieti per i sistemi a rischio inaccettabile si applicano dal 2 febbraio 2025. Gli obblighi per i modelli GPAI dal 2 agosto 2025. La piena applicazione per i sistemi ad alto rischio dal 2 agosto 2026.
Quali sono le sanzioni dell'AI Act? Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo per l'utilizzo di sistemi vietati. Fino a 15 milioni o il 3% per altre violazioni. Fino a 7,5 milioni o l'1% per informazioni inesatte alle autorità. Per PMI e startup si applicano le soglie inferiori.
L'AI Act sostituisce il GDPR? No. L'AI Act e il GDPR si applicano congiuntamente. L'AI Act regola i sistemi di intelligenza artificiale; il GDPR protegge i dati personali. Quando un sistema AI tratta dati personali, entrambi i regolamenti sono applicabili.
Chi vigila sull'AI Act in Italia? L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità nazionale di vigilanza, con poteri ispettivi e sanzionatori. L'AgID è l'autorità di notifica. Il Garante Privacy mantiene le competenze sui trattamenti di dati personali.
Approfondimenti correlati:
- AI Act: Cosa Cambia per le Aziende Italiane nel 2025 e 2026 — checklist operativa con gli adempimenti concreti per provider e deployer
- Sanzioni AI Act per Startup e PMI — focus sulle implicazioni per le imprese tech italiane
- Cos'è il GDPR? Guida Completa — il GDPR si applica congiuntamente all'AI Act per i trattamenti di dati personali
Fonti: Regolamento (UE) 2024/1689 (Gazzetta Ufficiale UE, 12 luglio 2024); Legge 23 settembre 2025, n. 132 (Gazzetta Ufficiale della Repubblica Italiana); Comunicazioni EU AI Office, 2025-2026.